WhatsApp ha chiuso una vulnerabilità che avrebbe potuto portare all'esposizione di dati sensibili. Una buona notizia, oscurata dalla multa da 225 milioni di euro comminata dall' Edpb irlandese.
Autore: Redazione SecurityOpenLab
La funzione filtro delle immagini di WhatsApp era affetta da un bug, ormai risolto, che avrebbe potuto esporre i dati sensibili degli utenti. Il retroscena è stato rivelato dai ricercatori di Check Point Research, autori della scoperta della falla.
Il problema si manifestava applicando dei filtri specifici a un'immagine e inviandola successivamente. Partendo dal principio, i filtri per le immagini di WhatsApp vengono usati per apportare effetti visivi alle immagini, quali per esempio la sfocatura.
Se si "gioca" troppo con i filtri di una GIF, passando velocemente da uno all'altro, si causa un crash dell'app di messaggistica. Come hanno scoperto i ricercatori, questo evento nefasto non è un banale blocco, ma una compromissione della memoria descritta come un problema di lettura e scrittura out-of-bounds.
Si tratta quindi di una vera e propria falla, a cui è stata associata la sigla CVE-2020-1910. Sfruttandola, un attaccante avrebbe potuto applicare dei filtri specifici a un'immagine appositamente creata, quindi inviarla con le modifiche.
Come detto la falla è stata chiusa: la correzione era inclusa nell'update alla versione 2.21.2.13 diffuso a febbraio. Nessuno di fatto si è accorto del problema, che è stato taciuto proprio per non dare spunti ai criminali informatici per sferrare attacchi su larga scala. Con oltre 2 miliardi di utentiattivi, infatti, WhatsApp è l'app di messaggistica più diffusa al mondo e viene impiegata quotidianamente per condividere 4,5 miliardi di foto e un miliardo di video.
Se quello del bug è stato un episodio ampiamente gestibile, non è altrettanto per la multa comminata all'azienda produttrice (Facebook, N.d.R.) dalla Commissione per la protezione dei dati (Dpc) dell'Irlanda (Paese dove la società ha la sua sede europea).
Ammonta a 225 milioni di euro ed è motivata dalla violazione del GDPR. Più in dettaglio, WhatsApp non avrebbe assolto gli obblighi di trasparenza nella modalità di raccolta e utilizzo dei dati personali degli utenti e nella relativa condivisione di tali informazioni con Facebook.
La denuncia era stata depositata dal Comitato europeo sulla protezione dei dati personali (Edpb), a seguito della quale a dicembre 2018 erano iniziate le indagini. La decisione è circostanziata da quelle che sono state definite "infrazioni di natura molto grave" agli obblighi di trasparenza a cui l'azienda è chiamata per legge.
Come da copione WhatsApp ha diffuso un comunicato ufficiale in cui definisce le sanzioni "sproporzionate" e annuncia il ricorso alla Corte Europea. Per completezza di cronaca riportiamo che, come riferiscono fonti di stampa, WhatsApp era stata informata delle infrazioni e aveva avuto tre mesi di tempo per conformare la propria comunicazione agli utenti alle disposizioni europee in materia di privacy.